[发明专利]基于核心攻击资源的网络攻击团伙融合方法

说明书

本发明是有关于一种基于核心攻击资源的网络攻击团伙融合方法，其基于核心攻击资源的相似程度来进行关联，基于安全知识定义关联分组以及计算基于关联分组的团伙间的相似度。针对N类拥有不同行为的团伙进行融合，本发明采用的是递进式的融合方式，先对两类网络攻击团伙进行融合，两类网络攻击团伙融合工作完成后，其融合结果将作为一类新的团伙，继续与其他尚未进行融合的类别进行融合操作，直至所有类别的团伙融合完毕。本发明有效的解决常规数据挖掘方法团伙发现不全面的问题，使其能挖掘出团伙所拥有的更多攻击资源和攻击行为，提高了网络攻击团伙发现的完整性和准确性。

技术领域

本发明涉及一种网络安全技术领域，特别是涉及一种基于核心攻击资源的网络攻击团伙融合方法。

背景技术

当前，通过常规数据挖掘方法发现的网络攻击团伙通常会包含一种或多种攻击行为。例如针对僵尸网络团伙进行检测或挖掘时，通常会基于已有的通信数据利用k-means、社区发现等常规的数据挖掘的聚类方法来找到具有僵尸网络行为的团伙。例如李晓桢等人总结了僵尸网络的三要素(恶意、可控、主机群)和CC的三种机制(集中式、P2P、随机)。首先检测网络流量中的通信过程和恶意行为，采用一种改进的k-均值聚类算法—x-均值算法对检测结果进行聚类得出僵尸主机。同样地，对于一个webshell团伙，也是会基于攻击者使用的攻击工具或者攻击动作等来找到攻击者之间的关联关系，从而通过聚类方法来挖掘webshell团伙。

而在真实的网络世界中，网络攻击行为常常以规模且分布式的呈现，这种呈现是因为攻击者通常是以团伙的方式来进行网络攻击。网络团伙攻击通常会基于一定的攻击手法，利用团伙所拥有的大规模攻击资源对攻击目标发起攻击，其中往往带有一定获取情报以及利益等目标，具有极高的威胁。当前绝大多数基于上述数据挖掘方法挖掘到的网络攻击团伙通常会包含一种或多种攻击行为。但这些攻击行为是否为该团伙的全部攻击行为，或通过其他方法发现的具有不同攻击行为的网络攻击团伙与该团伙是否存在某种关系，均无法直接得到证实。

有鉴于上述现有的技术存在的缺陷，本发明人经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的技术存在的缺陷，而提供一种新的基于核心攻击资源的网络攻击团伙融合方法，所要解决的是基于常规数据挖掘方法团伙发现不够全面的技术问题，使其通过团伙间的融合可以有效的挖掘出团伙所拥有的更多攻击资源和攻击行为，非常适于实用。

本发明的另一目的在于，提供一种新的基于核心攻击资源的网络攻击团伙融合方法，所要解决的技术问题是使其发掘出团伙更多的攻击资源和攻击行为，提高团伙发现的完整性和准确性，从而更加适于实用。

本发明的构思是：不同类型的网络攻击团伙之间可能因为拥有相同的攻击资源而具有一定的关联性，基于这种关联性可以使得团伙之间进行融合。通过团伙间的融合可以有效的解决常规数据挖掘方法团伙发现不够全面的问题，并挖掘出团伙所拥有的更多攻击资源和攻击行为。例如，一个僵尸网络(Botnet)团伙和一个利用webshell操控网站的网站攻击团伙，分别拥有木马控制行为和利用webshell的网站攻击行为。两个团伙可能会因为拥有同样的攻击资源而具有一定的关联性。基于两团伙的这种关联性对团伙进行融合，若融合成功，则可以证明两个具有不同攻击行为的团伙本质上是一个团伙，从而发掘出团伙更多的攻击资源和攻击行为，提高团伙发现的完整性和准确性。

本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种基于核心攻击资源的网络攻击团伙融合方法，其具体步骤如下：

步骤1：获取所有团伙的核心攻击资源的相关数据，并将其作为参与关联的实体：

步骤2:对不同类型的网络攻击团伙进行编号，并对每类网络攻击团伙的核心攻击资源进行分组关联；

步骤3：分析步骤2中的多种关联分组，判断团伙之间是否关联成功；